---
title: HTTP 安全机制
description: 介绍 HTTP/HTTPS 的安全机制、认证方式、常见安全风险及防护措施
---

# HTTP 安全机制

HTTP 本身是明文传输，存在安全隐患。为保障数据安全，需采用多种安全机制。

## HTTPS 加密传输
- **原理**：HTTP over TLS/SSL，通过加密保障数据机密性和完整性。
- **证书**：服务器需配置数字证书，客户端验证证书合法性。
- **优势**：防止窃听、篡改和伪造。

## 认证方式
- **Basic Auth**：基础认证，用户名密码明文传输，安全性低。
- **Token Auth**：如 JWT，客户端携带令牌访问，适合 API。
- **OAuth**：第三方授权认证，常用于社交登录。
- **Cookie/Session**：服务端生成会话标识，客户端通过 Cookie 传递。

## 常见安全头部字段
| 字段 | 作用 | 示例 |
|------|------|------|
| Strict-Transport-Security | 强制使用 HTTPS | Strict-Transport-Security: max-age=31536000; includeSubDomains |
| Content-Security-Policy | 内容安全策略 | Content-Security-Policy: default-src 'self' |
| X-Frame-Options | 防止点击劫持 | X-Frame-Options: DENY |
| X-XSS-Protection | 防止跨站脚本攻击 | X-XSS-Protection: 1; mode=block |
| X-Content-Type-Options | 防止 MIME 类型嗅探 | X-Content-Type-Options: nosniff |

## 常见安全风险与防护
- **信息泄露**：使用 HTTPS 加密，避免敏感信息明文传输。
- **CSRF（跨站请求伪造）**：校验来源、使用 Token 验证。
- **XSS（跨站脚本攻击）**：过滤输入、设置 CSP。
- **SQL 注入**：参数化查询、输入校验。
- **会话劫持**：设置 HttpOnly、Secure Cookie。

## 最佳实践
- 强制使用 HTTPS
- 合理设置安全头部
- 定期更新和管理证书
- 认证信息加密存储与传输
- 输入输出严格校验

## 参考资料
- [MDN Web Docs: HTTPS](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Overview)
- [OWASP Top 10](https://owasp.org/www-project-top-ten/)